Emsisoft warnt: Zbot Trojaner verbreitet sich durch gefälschte Facebook Anfragen

Immer
häufiger geraten die Nutzer der sozialen Netzwerke ins Fadenkreuz der
Malware-Verbreiter. Zurzeit beobachtet Emsisoft verstärkt gefälschte
Freundesanfragen für das Facebook-Netzwerk. Wer eine solche Anfrage unbedacht
bestätigt, wird auf eine nachgemachte Facebook-Seite gelockt und mit Malware
wie etwa dem Zbot-Trojaner infiziert. Emsisoft warnt: Hüten Sie sich vor
falschen Freunden wie Kaamil Mahmoud!

Salzburg,
August 2011 – Jeder Facebook-Benutzer kennt das und freut sich auch darüber:
Möchte ein Freund oder Bekannter sich mit einem selbst auf Facebook vernetzen,
so schickt er eine Freundesanfrage. Diese erreicht den Empfänger nicht nur über
die Facebook-Seite selbst, sondern zusätzlich noch einmal über eine E-Mail, die
automatisch verschickt wird. Ein Mausklick reicht an dieser Stelle bereits aus,
um einen neuen Freund oder eine Freundin zu gewinnen. Viele Freunde bedeutet
ein gutes Image in der Online-Welt. Das Malware-Analyse-Team von Emsisoft warnt
nun aber davor, allzu voreilig mit den Einladungs-Mails umzugehen. Sie werden
zurzeit verstärkt von Kriminellen dazu benutzt, die Anwender mit gefährlicher
Malware zu infizieren.

Eine dieser aktuell kursierenden Phishing-Mails wurde nun von Emsisoft
analysiert. Die englische Mail trägt den Titel “Kaamil Mahmoud wants to be
friends on Facebook”. Der Name ist aber austauschbar, ähnliche Mails verwenden
Namen wie Uqbah Qasim, Jasoor Shaheen, Talaal Issa, Rayyaan Sulayman oder
Inaaya Qasim. Klickt der Anwender auf “Confirm Friend Request”, führt der Link
aber nicht direkt auf die Facebook.com-Seite, sondern auf eine ganz andere, die
nicht zum Facebook-Konzern gehört.

Die gefälschte Seite sieht zwar aus wie eine Facebook-Seite, sie ist aber
keine. Auf der Seite steht dem üblichen Text die überraschende Nachricht: “Your
version of Macromedia Flash Player is too old to continue. Download and install
the latest version of Adobe Flash Player”. Sobald die Anwender auf den
angebotenen Link “Download and Install” klicken, lädt der Browser eine Malware
mit dem Dateinamen updateflash.exe. Es enthält den bekannten Trojaner Zeus, der
auch als ZBot bekannt ist.

Wer diese Datei NICHT startet, ist leider noch nicht auf der sicheren Seite.
Die gefälschte Facebook-Seite lädt nämlich automatisch noch eine andere
Webseite im Hintergrund. Das Exploit-Skript, das nun in einem versteckten iFrame
ausgeführt wird, gehört zum BlackHole Exploit Kit. Das Skript versucht nun, den
Computer des Opfers zu infiltrieren, indem vorhandene Sicherheitslücken etwa in
Java ausgenutzt werden. Das Skript erlaubt es den Kriminellen, die Malware
automatisch zu starten, ohne dass der infizierte Nutzer dies mitbekommt und
ohne dass es zu einer weiteren Interaktion mit dem Anwender kommen muss.

Emsisoft-Geschäftsführer Christian Mairoll: “Am sichersten ist es, wenn sich
die Anwender immer nur direkt auf facebook.com einloggen und neue
Freundschaften nur hier annehmen. So geht man allen Phishing-Angriffen sicher
aus dem Weg. Wer dennoch die Links in den E-Mails verwendet, sollte die
Ziel-URLs im Auge behalten. Oft reicht schon ein Mouseover über den Link aus,
um die wahre Web-Zieladresse in Erfahrung zu bringen. Natürlich lohnt es sich
auch, alle Anfragen von Menschen zu ignorieren, die man gar nicht kennt.”

Pressetext Emisoft

About Lukas Mühle

EDV Techniker und Web Designer aus Leidenschaft. Bin seit mehr als 10 Jahren in der IT Branche tätig.

Kommentar verfassen